Diss. ETH No. 19351 VLSI Circuits for Cryptographic Authentication A dissertation submitted to ETH ZURICH for the degree of Doctor of Sciences presented by LUCA HENZEN Dipl. El.-Ing. ETH (MSc ETH) born March 30th, 1982 citizen of Blatten VS, Switzerland accepted on the recommendation of Prof. Dr. Wolfgang Fichtner, examiner Prof. Dr. Willi Meier, co-examiner 2010
Abstract Nowadays, digital communication protocols rely on cryptographic mechanisms to protect sensitive information from unauthorized access and modification. Cryptographic primitives, such as hash functions, block and stream ciphers, are key components of many information security applications, employed to provide privacy, authentication, and data integrity. Following the massive differentiation of modern communication technologies, cryptography must be able to provide highlyefficient algorithms that combine strong security with optimal implementability. It becomes therefore unlikely that a single cipher or hash function would be able to meet all the constraints imposed by the wide plethora of communication protocols. Researchers and designers are thus asked to develop application-specific algorithms that are jointly optimized for security and implementation performance. This thesis is concerned with the design of very large scale integration (VLSI) circuits for cryptographic hash functions and block cipher authenticated encryption modes. We present two hash algorithms that have been submitted to the public hash competition organized by the U.S. National Institute of Standards and Technology (NIST). A complete design space exploration of their efficiency for application-specific integrated circuits (ASICs) is given. Due to our strong involvement in the competition, we further developed a uniform methodology for a fair comparison of the VLSI performance of the second round candidate algorithms. Our benchmarking framework is the result of three different research projects that culminated with the fabrication of three 0.18 µm and 90 nm ASICs, hosting the second round function cores. In the second part of this thesis, we investigate high-speed fieldprogrammable gate array (FPGA) designs of the Advanced Encryption Standard (AES) in the Galois/Counter Mode (GCM) of operation v
vi for authenticated encryption. A multi-core AES-GCM architecture is optimized to fully support the recently-ratified IEEE 802.3ba Ethernet standard for 40G and 100G speeds. Moreover, a complete hardware platform for real-time 2G fibre channel (FC) encryption is described. Finally, after a brief introduction into low-cost hardware implementations of lightweight cryptographic algorithms, we show the first FPGA-based implementation of specific cryptanalytic attacks on the stream cipher Grain-128 and we introduce the new hash function family Quark, tailored for resource-limited applications, such as embedded systems and portable devices.
Sommario Molteplici protocolli di comunicazione digitale fanno affidamento su meccanismi crittografici per proteggere informazioni considerate riservate. Componenti crittografiche primarie, quali funzioni hash, cifrari a blocco e a flusso, sono al centro di svariate applicazioni di sicurezza informatica e sono utilizzate principalmente per assicurare la riservatezza, l autenticità, e l integrità dei dati. A causa dell eterogeneità che caratterizza le attuali tecnologie di comunicazione, la crittografia moderna deve così fornire algoritmi altamente performanti in grado di combinare al contempo sicurezza ed efficienza. Tuttavia, è improbabile che un unico cifrario o un unica funzione hash siano capaci di soddisfare tutte le limitazioni imposte dai sistemi di comunicazione attualmente utilizzati. Ricercatori e sviluppatori sono pertanto chiamati a sviluppare nuovi algoritmi capaci ti ottimizzare unitamente aspetti di sicurezza e implementativi. Questa tesi è principalmente incentrata sulla progettazione di circuiti VLSI per funzioni hash e per cifrari a blocco configurati nella modalità di cifratura autenticata. Due algoritmi di hash, iscritti alla competizione internazionale organizzata dall istituto statunitense NIST, sono presentati nella prima parte. Una completa valutazione delle loro potenzialità implementative su silicio è riportata dettagliatamente. Grazie al nostro coinvolgimento nella competizione, abbiamo sviluppato un sistema di comparazione uniforme delle performance VLSI degli algoritmi promossi al secondo round. La nostra metodologia è il risultato di tre progetti di ricerca, nei quali le funzioni hash del secondo round sono state fabbricate in tre circuiti ASIC. La seconda parte di questa tesi si concentra sull implementazione per dispositivi FPGA di architetture high-speed per l algoritmo AES nella modalità di operazione GCM. I circuiti sviluppati si basano su un architettura multi-core, offrendo una completa compatibilità con vii
viii il nuovo standard IEEE 802.3ba per traffico Ethernet fino a 100 Gbit per secondo. Nella parte finale, dopo aver introdotto il concetto di crittografia leggera (a basso costo implementativo), presentiamo la prima applicazione in FPGA di attacchi crittanalitici sul cifrario a flusso Grain-128. L ultima sezione è dedicata alla descrizione di una nuova famiglia di funzione hash, chiamata Quark, particolarmente appetibile per applicazioni a basso costo quali sistemi embedded e dispositivi portatili.